Autenticazione TLS / OpenVPN / Attacchi MITM su Wi-Fi pubblico [duplicato]

Naviga le tue risposte
4

La mia domanda riguarda il modo in cui una connessione VPN SSL come OpenVPN è protetta dagli attacchi MITM / Spoofing su un Wifi pubblico.

Ad esempio, se qualcuno ha una configurazione "ananas" o router come gateway honeypot che agisce come proxy, l'atto di autenticazione tra il client e il server OpenVPN lo protegge dallo spoofing o dal MITM. L'autenticazione iniziale utilizzando TLS e lo scambio di chiavi pubbliche del server (certificato) e il confronto tra questo e il certificato CA già memorizzati sul dispositivo client identificano se il server OpenVPN è quello che effettivamente dice che è?

Se ho sbagliato posso qualcuno spiegare il processo e se è corretto c'è qualche altro punto lungo la stretta di mano che è suscettibile agli attacchi MITM?

Grazie a tutti

    
posta jameskgowan 23.11.2014 - 16:31
fonte

1 risposta

4

Nel caso di OpenVPN il certificato è già noto al client, non c'è scambio a quel punto, quindi MiTM è mitigato in base all'idea che avrebbero dovuto compromettere il certificato del server per ingannare il client nella comunicazione con il dispositivo centrale.

Se il MiTM presentasse un certificato alternativo per la comunicazione, il client lo rifiuterebbe, allo stesso modo il migliore che l'aggressore medio potrebbe fare è presentare l'autenticazione per il client, il che risulterebbe in una comunicazione che non potevano leggere perché priva del privato materiale chiave per decodificare il flusso.

Compromettere qualcosa come OpenVPN è notoriamente difficile, a condizione che il server OpenVPN sia configurato adeguatamente. Il modello di sicurezza di quel prodotto si basa su livelli di sicurezza, che richiedono a un utente malintenzionato di eseguire simultaneamente più attacchi su alberi di codice non collegati. (Sto assumendo il migliore dei casi qui usando tls-auth è correttamente implementato ecc.)

L'elenco CVE è un piccolo collegamento con la maggior parte che rientra nella gamma di DoS come contrario alle attuali perdite di integrità. Per quanto ne so, non ci sono stati attacchi MiTM convincenti contro il prodotto.

Potrebbero esserci alcune organizzazioni alfabetiche disponibili, ma l'utente medio di ananas non sarà in grado di fare molto qui.

    
risposta data 23.11.2014 - 18:42
fonte

Leggi altre domande sui tag

Come fa Firefox a sapere quando visualizzare una barra verde? Cosa può vedere la mia università installando un certificato di origine CA sul mio computer, anche quando sto utilizzando una VPN?